Pres Ransomware : une menace dangereuse de la famille Dharma

Comprendre le ransomware Pres

Le rançongiciel Pres est un ajout menaçant à la famille des rançongiciels Dharma . Comme ses prédécesseurs, Pres chiffre les fichiers des victimes et exige une rançon en échange de leur récupération. Ce qui rend cette variante particulièrement identifiable est la façon dont elle renomme les fichiers chiffrés. Elle ajoute l'identifiant unique de la victime, une adresse e-mail de contact et l'extension « .pres » à chaque nom de fichier. Par exemple, un fichier initialement nommé « document.pdf » apparaîtra comme « document.pdf.id-9ECFA84E.[helpreserve@onionmail.org].pres » après chiffrement.

En plus de chiffrer les fichiers, Pres affiche une demande de rançon contextuelle et place un fichier texte nommé « info.txt » dans les répertoires infectés. Ce message informe les victimes que leurs fichiers ont été chiffrés et fournit des instructions pour contacter les attaquants par e-mail. Les victimes doivent envoyer leur identifiant unique à l'une des deux adresses suivantes : helpreserve@onionmail.org ou helpreserve@cyberfear.com.

Ce que veulent les attaquants

La demande de rançon se veut utile, voire rassurante. Elle affirme que les fichiers de la victime peuvent être récupérés et propose de déchiffrer gratuitement jusqu'à trois petits fichiers non sensibles à titre de preuve. Cependant, ces fichiers d'échantillons ne doivent pas dépasser 3 Mo au total et ne peuvent inclure de sauvegardes, de bases de données ni de feuilles de calcul volumineuses. La demande avertit également que renommer des fichiers ou utiliser des outils de récupération tiers peut entraîner des dommages irréversibles.

Dans une tactique classique de manipulation psychologique, les attaquants déconseillent l'intervention de tiers, prétextant une augmentation du montant de la rançon. Cette tactique vise à isoler la victime et à la rendre plus confiante dans les promesses des attaquants, malgré le risque élevé de ne recevoir aucun outil de déchiffrement après le paiement.

Voici ce que prétend la demande de rançon :

All your files have been encrypted!
Don't worry, you can return all your files!
If you want to restore them, write to the mail: helpreserve@onionmail.org YOUR ID -
If you have not answered by mail within 12 hours, write to us by another mail:helpreserve@cyberfear.com
Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 3Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)
How to obtain Bitcoins

Also you can find other places to buy Bitcoins and beginners guide here:
http://www.coindesk.com/information/how-can-i-buy-bitcoins/
Attention!
Do not rename encrypted files.
Do not try to decrypt your data using third party software, it may cause permanent data loss.
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam.

Comment fonctionnent Pres et d'autres programmes de ransomware

Les rançongiciels comme Pres sont conçus pour prendre en otage les données des utilisateurs en les chiffrant grâce à des algorithmes puissants. Une fois chiffrés, les fichiers deviennent inutilisables à moins d'être déchiffrés avec une clé unique, détenue uniquement par les attaquants. Les victimes sont généralement confrontées à un choix difficile : payer la rançon et espérer que les attaquants honorent leur parole, ou tenter de récupérer leurs données par d'autres moyens.

Le rançongiciel Pres ne se contente pas de chiffrer les fichiers. Il supprime également les clichés instantanés de volumes (utilisés par Windows pour les sauvegardes), désactive le pare-feu pour éviter toute détection et tente de maintenir sa persistance en se copiant dans un emplacement caché du système et en modifiant le registre Windows. Ces tactiques visent à garantir que le rançongiciel puisse s'exécuter même après un redémarrage du système et résister aux tentatives de suppression.

Les risques liés au paiement de la rançon

Si payer la rançon peut sembler le moyen le plus rapide de récupérer sa victime, c'est un pari risqué sans garantie de récompense. Les attaquants peuvent s'emparer de l'argent et disparaître, ou fournir une clé de déchiffrement erronée ou partielle. De plus, payer ne fait qu'alimenter les activités cybercriminelles et rend les rançongiciels plus rentables et attrayants pour les attaquants.

Dans la plupart des cas, la récupération sans sauvegarde ni outils de déchiffrement officiels est extrêmement difficile. Malheureusement, les sauvegardes stockées sur des appareils connectés ou infectés peuvent également être compromises. Par conséquent, des pratiques de sauvegarde efficaces, telles que le stockage de copies sur des disques externes débranchés ou des services cloud sécurisés, sont essentielles.

Comment le ransomware Pres se propage

Les infections par rançongiciel Pres résultent généralement d'une faille de sécurité du protocole RDP (Remote Desktop Protocol) . Les cybercriminels exploitent souvent des services RDP mal protégés en utilisant des attaques par force brute ou par dictionnaire pour obtenir un accès non autorisé. Une fois à l'intérieur, ils déploient le rançongiciel manuellement.

D'autres méthodes d'infection incluent les courriels d'hameçonnage contenant des pièces jointes ou des liens malveillants, les téléchargements furtifs depuis des sites non fiables, les logiciels piratés contenant des logiciels malveillants et les publicités trompeuses. Les utilisateurs peuvent également être confrontés à des rançongiciels via des réseaux P2P ou de fausses mises à jour logicielles. Le logiciel malveillant se fait généralement passer pour un programme ou un document légitime, incitant les utilisateurs à activer l'infection.

Comment rester protégé

La prévention des rançongiciels comme Pres commence par une bonne conduite en ligne et des mesures de cybersécurité rigoureuses. Évitez de télécharger des logiciels depuis des sites web non officiels, méfiez-vous des programmes piratés ou des générateurs de clés, et n'activez jamais de macros dans des documents Office inconnus. Soyez particulièrement vigilant avec les pièces jointes ou les liens provenant de sources inconnues, même s'ils semblent urgents ou importants.

Mettez régulièrement à jour votre système d'exploitation et vos logiciels pour corriger les vulnérabilités connues. Utilisez des antivirus fiables dotés de fonctions de protection en temps réel. Sauvegardez régulièrement vos données importantes et conservez-les dans des emplacements sûrs et isolés.

Réflexions finales

Le rançongiciel Pres illustre à quel point les menaces modernes liées aux rançongiciels sont devenues sophistiquées et destructrices. Il combine furtivité technique et manipulation sociale pour inciter les victimes à payer des rançons qui peuvent ne même pas permettre la récupération des fichiers. En restant vigilants, en suivant les meilleures pratiques de cybersécurité et en conservant des sauvegardes sécurisées, les utilisateurs et les organisations peuvent réduire considérablement leurs risques face à ces systèmes d'extorsion numérique.

Par Willa
May 5, 2025
Ransomware
Français
May 5, 2025
Ransomware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 18 days

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Comprendre et atténuer la menace de W32.AIDetectMalware

Il y a 10 months

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months

Pourquoi les utilisateurs sont surpris lorsqu'ils trouvent...

Il y a 2 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.